香港政府忽然規定 SIM 卡實名登記,做法脫節兼過時,卻也毫不意外。香港記者協會憂慮執法機關以「迫切」或「緊急」作藉口,即使沒有法庭手令,要求取得手提電話資料,令公眾在傳媒無法保護消息來源情況下,不敢向傳媒提供可能涉及違法、濫權等敏感資料,影響新聞自由及公眾知情權。

在這裡暫且提供一些方法,供傳媒的朋友,以及想以匿名方式聯絡傳媒的朋友使用,以確保在 SIM 卡實名制的情況下,仍然能掌握憲政規定的新聞自由。

一,使用 Session 聊天軟件

Session 是另一個以加密著稱的聊天軟件,與 Signal 相比最大的分別,是完全不需要使用電話號碼登記。登記過程簡單,下載後直接按鍵,就能即時產生一條電子鑰匙,也就是一個新的身份,使用起來極度容易,可以在相對隱身的情況下進行溝通。

這個軟件跨平台,有 iPhone、Android、Mac、Windows、Linux 版本,還提供官方的 APK 及 IPA(在有權限的手機上,可以自行安裝而不經 App Store),使用起來出奇地方便,而且完全免費。

下載後,三十秒就能注冊 Session ID,產生一段獨特的字串,輸入顯示名字,選擇 Fast Mode,容許通知,完成!過程快得令人震驚!要加聯絡人也很方便,按左上方圖示,選擇右邊的 QR 碼圖示,掃描 QR Code,即可。

Session 由澳洲的非政府組織 Oxen Privacy Tech Foundation 管理,軟件有點對點加密,代碼是開源,除了有第三方的實驗室作審核,其他有相關技術的人員也可以作審核。開源及獨立審核非常重要,除了更易找出漏洞,亦避免植入木馬程式(注)。該軟件只會記錄用戶的辨識碼,但該辨識碼本身並沒有跟用戶的電郵或電話連繫。訊息以 TOR 方式傳送,第一個節點(node)會記錄用戶 IP,但其後的節點不會記錄 IP。

不過由於任何掌握「私鑰」(private key)的人都能使用戶口,而私鑰只是一串英文生詞,萬一被盜,即會被人盜用身份。考慮到不少同道中人對於密碼(也包括私鑰)的保護嚴重不足,這也會間接影響使用 Session 的安全。所以同時建議,如果打算長期使用 Session,最好要同時安裝密碼管理器,例如 1Password,用來儲存密碼或私鑰。有關密碼管理器,詳情請參看:〈零基資安訓練營(六):習慣使用密碼管理器〉

而由於私鑰不適合給較多人的公司分享,所以 Session 較適合個人與個人之間使用,例如記者與報料者。但不適合機構與個人之間使用,例如傳媒與報料者。

我過去一直寫文章介紹另一個聊天軟件 Signal,這篇文章介紹 Session,並非指其可以取代 Signal,而我目前最常用的聊天軟件仍然是 Signal。只是 Session 能在完全不提供電話號碼或其他個人身份認證的情況下,建立一個全新的身份,在一些特定場景,尤其需要匿名的情況下,會有其獨特的用處。

Telegram 雖然可以「隱藏」電話號碼,但過去曾有洩漏事件。我覺得最大的風險不是單純洩露了電話號碼,而是用戶以為號碼「隱藏」了,以為身份隱藏,後來才知訊息洩露,這才是最大風險。

簡單撮要一下:

Signal:日常相識之間的聊天應用,不介意對方知道自己的電話號碼,設置限時訊息(由 5 秒至 4 星期),4 星期的限時訊息為新功能。

Telegram:可以隱藏手機號碼,較為適合作公海之用。但由於登記時始終要電話號碼,有洩露的風險(也有洩漏的前科)。

Session:完全不需要手機號碼便能登記帳號,最能確保匿名。不過我認為這個軟件只適合小範圍的對話,不能取代 Signal,目前未有語音通話功能。Session 還有一個很方便的用途,如果你有幾部不同的手機,可以用 Session 相互傳送訊息或檔案(檔案大小不超過 6MB)。

WhatsApp:儘量不使用,但如果對方只有微信或 WhatsApp,而你又一定要跟對方聯絡,那就只好兩害取其輕了。

二,使用虛擬號碼

我認為 SIM 卡號碼是過時的科技,早就應該淘汰,但卻因歷史原因,一直保存至今,更成了不少人最重要的身份識別號碼,這是弊多於利,但也得無奈接受。現在使用需要電話號碼認證的服務,諸如 Signal、Telegram、WhatsApp 等,建議改用虛擬號碼。虛擬號碼的登記地一般在美國,不受 SIM 卡實名制的規範,以虛擬電話號碼來使用 Signal、Telegram、WhatsApp 等,功能介面操作不用重新適應,亦對保障自己的身份較有保障。

有關虛擬號碼之使用,請參考以下四篇文章。

〈手機號碼跳船策略(上)〉
〈手機號碼跳船策略(中)〉
〈手機號碼跳船策略(下)〉
〈手機號碼跳船策略(番外篇):史上最強的虛擬神器〉(Patreon 獨家文章)

三,使用 ProtonMail 對 ProtonMail

電郵服務當中,論流行程度及加密級別來說,非 ProtonMail 莫屬。但要留意,只有由 ProtonMail 發至 ProtonMail 的網內郵件才有加密,如果另一邊是其他郵件商,例如曾有出賣中國異見人士前科的 Yahoo Mail,就算 ProtonMail 如何加密,也是無用。所以不論是記者或傳媒,都應該設置 ProtonMail 戶口,並同時提醒爆料人同樣使用 ProtonMail,而不要使用其他郵箱發出信件。

以前開啟 ProtonMail,曾經可以直接開戶而不需以其他方式驗證,但後來可能使用者越來越多,又或是多了濫用情況,目前開新戶口時需要輸入電郵地址、手機號碼或捐款(信用卡或 PayPal)。暫時雖然未有洩漏事件,但如果要做到完全匿名,建議使用不常用及與自己身份無關的電郵地址作認證。

總結

使用加密的通訊方式,無論是使用 Session、或以虛擬的電話號碼去注冊 Signal、Telegram、WhatsApp,又或使用 ProtonMail,即使 SIM 卡實名制後,仍然能對私隱有較大的保障。保障私隱是基本人權,任何公民都應捍衛此一權利。

當然也可以反過來問,當初政府聲稱強推 SIM 卡實名是為了阻截電話騙案,但現在科技早就不同,加密通訊大行其道,政府現在推行 SIM 卡實名制,行徑過時,非單不能阻截別人在沒有實名登記的情況下進行通訊,更是勞民傷財,畫蛇添足,多此一舉。

注:有關看似安全但又植入了監控的軟件,行文之後,剛好爆出一宗類似新聞。這宗新聞,提及 FBI 向「變節的程式開發員」,支付 18 萬美元,購買後門 AN0M 聊天應用程序,該應用程序協助搗破國際販毒集團。

 

🚥 【 Signal 及虛擬號碼相關文章】 
🔑 【資訊保安文章整理,超務實長清單】 

作者 Patreon / Facebook / MeWe